Sophos Firewall: कोई CVE नहीं, लेकिन बग्स की भरमार (v21.5 से v22 तक)
विषय सूची
यदि आप इस समय फ़ायरवॉल के क्षेत्र में काम कर रहे हैं, तो आप आमतौर पर दो बड़ी बुराइयों में से एक से जूझ रहे होंगे: या तो आप लगातार महत्वपूर्ण कमजोरियों (CVEs, जैसा कि अभी Fortinet के साथ हो रहा है) को लेकर तनाव में हैं और रातें पैच करने में बिता रहे हैं - या फिर सिस्टम अस्थिर फ़र्मवेयर और कष्टप्रद बग्स (जैसा कि अभी Sophos के साथ हो रहा है) के कारण नियमित संचालन के दौरान आपके रास्ते में इतनी बाधाएँ डाल रहे हैं कि आप कुछ और कर ही नहीं पाते।
कंपनी में मेरे काम के दौरान, ठीक यही बाद वाली स्थिति हो रही है - एक ऐसा तनाव जिसे मैं स्वाभाविक रूप से कभी-कभी अपने साथ घर भी ले जाता हूँ। हमारे वर्तमान सिरदर्द का नाम है: Sophos Firewall।
जबकि Fortinet जैसे प्रतिस्पर्धी ऐसा लगता है कि हर हफ्ते नई PSIRT एडवाइजरी जारी कर रहे हैं, जिससे एडमिनिस्ट्रेटर लगातार पैचिंग के चक्र में घूमते रहते हैं, Sophos हमारा भारी मात्रा में समय बर्बाद कर रहा है। यह उन कमजोरियों के कारण नहीं है जो सुर्खियां बनती हैं, बल्कि रोज़मर्रा के संचालन (Operations) में आने वाले बिल्कुल साधारण, फिर भी बेहद महत्वपूर्ण बग्स के कारण है।
डिस्क्लेमर, ताकि ऐसा न लगे कि मैं सेब और संतरे की तुलना कर रहा हूँ: मुझे पूरी तरह से पता है कि Fortinet भी भारी बग्स से जूझ रहा है (FortiOS 7.2/7.4/7.6 में Conserve Mode और Memory Leaks के बारे में सोचें) और Sophos ने भी अतीत में गंभीर CVEs देखे हैं। हालांकि, वर्तमान v21.5/v22 चरण में, यह विशिष्ट स्थिति ही हमारे लिए परेशानी का कारण है: एक वेंडर के साथ, यह लगातार CVE पैचिंग का मामला है; वहीं Sophos के साथ, यह स्थिरता के मुद्दों के कारण होने वाला अनावश्यक और फालतू का काम (Ops-Work) है।
वर्ज़न का संदर्भ (संक्षेप में)
यह स्पष्ट करने के लिए कि मैं किसी पुरानी धूल खा रही v19 के बारे में नहीं लिख रहा हूँ, बल्कि उस वर्ज़न के बारे में लिख रहा हूँ जिसे वर्तमान में कई लोग “अप-टू-डेट” मानकर चला रहे हैं:
- SFOS 21.5 GA (02.06.2025): रिलीज़ नोट्स: SFOS 21.5
- SFOS 21.5 MR2 (Build 323, 18.02.2026): रिलीज़ नोट्स के अनुसार, इस समय अवधि में नवीनतम 21.5 वर्ज़न।
- SFOS 22.0 GA (दिसंबर 2025) और v22 GA Re-Release (Build 411, 20.01.2026): रिलीज़ नोट्स: SFOS 22.0
ये GA (जनरल अवेलेबिलिटी) और मेंटेनेंस रिलीज़ (Maintenance Releases) हैं, कोई रैंडम “नाइटली” बिल्ड नहीं।
यह सुनिश्चित करने के लिए कि यह तुलना केवल भावनाओं पर आधारित नहीं है, यहाँ एक त्वरित वास्तविकता की जाँच (Reality check) दी गई है।
Fortinet: नवंबर 2025 से FortiOS CVEs (26.02.2026 तक)
समय-सीमा: 01.11.2025 से 26.02.2026 (प्रकाशन तिथि)। स्रोत: Fortinet PSIRT एडवाइजरीज़ (PSIRT अवलोकन)।
मैं जानबूझकर यहाँ “सभी Fortinet” को सूचीबद्ध नहीं कर रहा हूँ, बल्कि केवल इस अवधि में FortiOS/FortiGate-संबंधित एडवाइजरीज़ को ही रख रहा हूँ, क्योंकि व्यवहार में, यही दर्द है: आपको पैच करना होगा, योजना बनानी होगी, परीक्षण करना होगा।
CVSS स्कोर सब कुछ नहीं है, लेकिन यह परिचालन संबंधी अंतर को दृश्यमान बनाता है: 5.x स्कोर वाला एक मध्यम (Medium) स्तर अक्सर नियोजित किया जा सकता है, जबकि 9.x स्कोर जल्दी ही “सब कुछ छोड़ो और पैच करो” परिदृश्य बन जाता है।
10 फरवरी 2026 को प्रकाशित (एक ही दिन में कई एडवाइजरी)
- FG-IR-25-667 (CVE-2025-55018, CVSSv3 5.2): FortiOS GUI में Request smuggling। यह इसलिए भी अप्रिय है क्योंकि इसमें “unlogged requests” (लॉग न किए गए अनुरोध) शामिल हैं।
- FG-IR-25-795 (CVE-2025-64157, CVSSv3 6.7): CAPWAP फास्ट-फेलओवर मोड में फ़ॉर्मैट-स्ट्रिंग समस्या (ट्रिगर के रूप में Admin/Config)।
- FG-IR-25-1052 (CVE-2026-22153, CVSSv3 7.5): Agentless VPN/FSSO में LDAP ऑथेंटिकेशन बायपास (व्यवहार में अक्सर वर्कअराउंड: LDAP सर्वर पर अनऑथेंटिकेटेड बाइंड को अक्षम करना)।
- FG-IR-25-934 (CVE-2025-68686, CVSSv3 5.3): SSL VPN सिम्लिंक परसिस्टेंस पैच बायपास। संदर्भ के लिए महत्वपूर्ण: एडवाइजरी के अनुसार, इसके लिए फ़ाइल सिस्टम स्तर पर किसी अन्य भेद्यता के माध्यम से पहले से समझौता (Compromise) होना आवश्यक है।
- FG-IR-25-384 (CVE-2025-62439, CVSSv3 3.8): FSSO टर्मिनल सर्विसेज़ एजेंट में पॉलिसी बायपास (फ़िक्स FortiOS संस्करण और TS एजेंट के न्यूनतम संस्करण का संयोजन है)।
जनवरी 2026
- FG-IR-26-060 (CVE-2026-24858, CVSSv3 9.4), प्रकाशित 27.01.2026: एडमिनिस्ट्रेटिव FortiCloud SSO ऑथेंटिकेशन बायपास। एडवाइजरी इन द वाइल्ड (in the wild) शोषण और विशिष्ट प्रति-उपायों का भी वर्णन करती है।
- FG-IR-25-084 (CVE-2025-25249, CVSSv3 7.4), प्रकाशित 13.01.2026:
cw_acdडेमन (FortiOS/FortiSwitchManager) में हीप-बेस्ड बफर ओवरफ़्लो।
9 दिसंबर 2025 को प्रकाशित
- FG-IR-25-647 (CVE-2025-59718, CVE-2025-59719, CVSSv3 9.1): हेरफेर किए गए SAML संदेश के माध्यम से FortiCloud SSO लॉगिन ऑथेंटिकेशन बायपास (यह सुविधा डिफ़ॉल्ट रूप से अनिवार्य नहीं है, लेकिन फील्ड में वास्तविक है)।
- FG-IR-25-411 (CVE-2025-62631, CVSSv3 5.3): SSL VPN में अपर्याप्त सेशन एक्सपायरी (सेशन का जीवनकाल/पासवर्ड परिवर्तन का चरम मामला)।
- FG-IR-24-268 (CVE-2024-47570, CVSSv3 6.3): संवेदनशील जानकारी REST API लॉग में समाप्त हो जाती है (यदि REST API लॉगिंग सक्रिय है)।
- FG-IR-24-133 (CVE-2024-40593, CVSSv3 5.9): प्राइवेट की (Private key) को एडमिन द्वारा पढ़ा जा सकता है (कुंजी प्रबंधन त्रुटि, पैच स्तर के माध्यम से ठीक की जा सकती है)।
18 नवंबर 2025 को प्रकाशित
- FG-IR-25-358 (CVE-2025-53843, CVSSv3 6.9): CAPWAP डेमन स्टैक बफर ओवरफ़्लो।
- FG-IR-25-632 (CVE-2025-58413, CVSSv3 6.9): CAPWAP डेमन में एक और स्टैक बफर ओवरफ़्लो।
- FG-IR-25-545 (CVE-2025-54821, CVSSv3 1.8): SSH के माध्यम से ट्रस्टेड होस्ट (Trusted hosts) का बायपास (CLI एज केस)।
हाँ, यह बहुत ज़्यादा है। और हाँ, आप इसे प्रक्रियाओं (पैच विंडो, स्टेजिंग, चेंज मैनेजमेंट, मेंटेनेंस विंडो) के साथ प्रबंधित कर सकते हैं।
और फिर आता है दूसरा पहलू।
Sophos: कोई सुर्खियाँ नहीं, लेकिन ऑपरेशन्स (Operations) आग में जल रहे हैं
Sophos के साथ, निश्चित रूप से हम सुरक्षा के बारे में भी बात करते हैं। लेकिन अभी जो वास्तव में हमारा समय खा रहा है, वह है केवल बग्स।
फ़ायरवॉल के लगातार समस्याएँ पैदा करने के कारण अभी कंपनी में हमारे पास बहुत सारा अनावश्यक काम है। और किसी बिंदु पर, आप खुद को एक ऐसा सवाल पूछते हुए पाते हैं जो वास्तव में बेतुका है:
मैं क्या पसंद करूँगा: एक सुरक्षा भेद्यता वाला फ़ायरवॉल जो कम से कम स्थिर रूप से तो चलता है, या बिना किसी बड़ी CVE सुर्खियों वाला फ़ायरवॉल जो बूट होने के बाद वापस चालू ही नहीं होता?
यह कोई अकादमिक बहस नहीं है। यह ऑपरेशन्स (Operations) है। दुख की बात है कि, एक सैद्धांतिक सुरक्षा भेद्यता जिसका शायद कभी फायदा उठाया जा सकता है, मुझे अब उस ग्राहक से कहीं बेहतर लगती है जिसका नेटवर्क एक मामूली से बग के कारण फिर से कई घंटों के लिए पूरी तरह से डाउन हो गया हो।
हमारे वर्तमान दर्द बिंदु (हाँ, सभी एक साथ)
और इसे स्पष्ट करने के लिए: ये केवल वे बग्स हैं जिनका हमने हाल के महीनों में विभिन्न प्रणालियों पर कई बार सामना किया है। जब संचालन एक प्रोजेक्ट में बदल जाता है तो यह थका देने वाला और निराशाजनक होता है। ख़ासकर तब जब आप फिर से Sophos सपोर्ट के चक्कर में फँस जाते हैं, और वे यह दिखावा करना पसंद करते हैं कि “आप पूरी दुनिया में ठीक इसी समस्या का सामना करने वाले पहले और एकमात्र ग्राहक हैं”। नहीं, हम नहीं हैं।
- फ़ायरवॉल कभी-कभी बूट होने के बाद ठीक से (cleanly) स्टार्ट नहीं होता है।
- HA क्लस्टर टूट जाता है या स्प्लिट-ब्रेन (split-brain) की तरह व्यवहार करता है।
- लॉगिंग अचानक अविश्वसनीय हो जाती है (या पूरी तरह से गायब हो जाती है)।
- Let’s Encrypt सर्टिफ़िकेट रिन्यू नहीं होते हैं, और आपको रात में मैन्युअल रूप से इसका पालन करना पड़ता है।
- एक इंटरफ़ेस गायब हो जाता है या अचानक GUI में दिखाई नहीं देता है।
- SSDs मर रहे हैं (हार्डवेयर का खराब होना)।
- WebAdmin लॉगिन पूरी तरह से हड़ताल पर चला जाता है – आप अब लॉगिन नहीं कर सकते, अक्सर केवल रीबूट ही मदद करता है।
- इंटरफ़ेस अचानक कॉन्फ़िगरेशन से पूरी तरह से गायब हो जाते हैं।
- लॉग डिस्क (Log-Disk) भर जाती है, जिससे त्रुटि संदेश दिखाई देते हैं या प्रभावित सेवाएँ सीधे बंद हो जाती हैं।
समुदाय (Community) क्या कह रहा है (आप अकेले नहीं हैं!)
यदि आप Sophos समुदाय (2026 की शुरुआत तक) पर नज़र डालें, तो गुणवत्ता में गिरावट की तस्वीर दुखद रूप से हमारे अनुभवों से मेल खाती है। हमारी समस्याओं के अलावा, अन्य उपयोगकर्ताओं को v21.5 / v22 में और भी गंभीर रुकावटों (showstoppers) का सामना करना पड़ रहा है:
- टूटे हुए SSL VPN प्रोफ़ाइल (v22.0 Build 411): कुछ उपयोगकर्ता रिपोर्ट करते हैं कि नवीनतम v22 में अपग्रेड करने के बाद, SSL VPN प्रोफ़ाइल बनाना विफल हो जाता है। उन्हें कभी-कभी v21.5 में रोलबैक करना पड़ा क्योंकि नया संस्करण बस बहुत अधिक बग-युक्त (buggy) है।
- टूटा हुआ SNAT / वेब सर्वर एक्सेस (v22.0 Build 365): ऐसी रिपोर्टें हैं कि अपडेट के बाद, बाहर से आंतरिक वेब सर्वर तक पहुंच टूट जाती है। अक्सर, इंटरनेट राउटिंग पूरी तरह से काम करना बंद कर देती है जब तक कि SNAT को मैन्युअल रूप से डिफ़ॉल्ट MASQ विकल्प पर रीसेट नहीं किया जाता है।
- CLI स्पैम / “Invalid rule id”: कंसोल में बड़े पैमाने पर “Invalid rule id or family for update” जैसी चेतावनियाँ दिखाई देती हैं। (यह “केवल” एक प्रदर्शन त्रुटि (display error) प्रतीत होती है, लेकिन यह निरर्थक रूप से लॉग को भर देती है)।
और इस सब का सबसे कड़वा हिस्सा: इनमें से हर एक चीज़ केवल परेशान करने वाली ही नहीं है, बल्कि एक बड़ा जोखिम है। यदि लॉग गायब हैं, तो आप अंधेरे में उड़ रहे हैं। यदि HA अस्थिर है, तो आप फेलओवर (failover) पर विश्वास खो देते हैं। यदि सर्टिफ़िकेट रिन्यू नहीं होते हैं, तो आप वर्कअराउंड (workarounds) बनाते हैं। और वर्कअराउंड ही बाद की घटनाओं के लिए प्रजनन आधार (breeding ground) होते हैं।
Sophos बग्स (v21.5 से v22): जो सीधे आपके लक्षणों पर प्रहार करते हैं
मैं जानबूझकर यहां आधिकारिक रिलीज़ नोट्स या आधिकारिक तौर पर प्रलेखित ज्ञात समस्याओं (Known Issues) से विशिष्ट NC-ID सूचीबद्ध कर रहा हूं ताकि आप, एक व्यवस्थापक (admin) के रूप में, इसे स्पष्ट रूप से ट्रैक कर सकें।
संक्षेप में: लक्षण -> नोट्स क्या कहते हैं
| ऑपरेशन्स में लक्षण | रिलीज़ नोट्स / Known Issues से उदाहरण |
|---|---|
| बूट/रीस्टार्ट ठीक से चालू नहीं होता | NC-151715, NC-152641, NC-123910 |
| फेलओवर के दौरान HA डगमगाता है या पैनिक करता है | NC-142962, NC-132291, NC-147307, NC-147739, NC-149039 |
| लॉग/रिपोर्ट गायब हो जाते हैं या अविश्वसनीय हो जाते हैं | NC-158526, NC-160962, NC-157663, NC-169237, NC-135594, NC-175936, NC-170292, NC-166381 |
| Let’s Encrypt/WAF तनाव पैदा कर रहा है | NC-148937, NC-152022, NC-140663, NC-141062, NC-152540, NC-146082, NC-159041 |
| Entra SSO/Captive Portal/VPN Portal नखरे दिखा रहे हैं | NC-167126, NC-157635, NC-167130, NC-167128 |
| VPN/IPsec चालू नहीं होता या इंटरऑप (interop) टूट जाता है | NC-136352, NC-128116 |
| बिना स्पष्ट नियम कारण के ट्रैफ़िक ड्रॉप (Traffic Drops) | NC-169842 (और अपग्रेड के बाद IPS/Snort को कारण के रूप में ध्यान में रखें) |
| इंटरफ़ेस “गायब” है (UI) | ज्ञात समस्या (Known Issue): 10+ अंकों वाले इंटरफ़ेस नाम, इंटरफ़ेस को WebAdmin व्यू में अदृश्य कर देते हैं |
ऑपरेशन्स (Operations) से एक निराशाजनक कहानी
हम सुबह वहां बैठते हैं और वही करते हैं जो आप हमेशा करते हैं: टिकटों पर काम करना, बदलावों की योजना बनाना, मॉनिटरिंग पढ़ना।
और फिर फ़ायरवॉल बिना खटखटाए दरवाज़े पर दस्तक देता है।
किसी CVE के साथ नहीं, किसी “क्रिटिकल एडवाइजरी” के साथ नहीं। बल्कि रोज़मर्रा की ज़िंदगी के साथ।
पहली कॉफ़ी, पहला रीस्टार्ट, और आपके दिमाग में सवाल: क्या यह वापस चालू होगा या नहीं?
यदि सब कुछ ठीक रहता है, तो यह चालू हो जाता है। यदि स्थिति खराब होती है, तो यह “Failsafe” और “जीवित है, लेकिन ट्रैफ़िक को प्रोसेस नहीं कर रहा है” के बीच कहीं अटक जाता है। और जब आप अभी भी सोच रहे हैं कि क्या आपको वास्तव में फिर से कंसोल केबल की आवश्यकता है, तो अगला अध्याय खुलता है।
HA (उच्च उपलब्धता)। आपका एयरबैग। और कभी-कभी ऐसा लगता है जैसे पार्किंग करते समय एयरबैग खुल गया हो।
फिर लॉगिंग। हम सभी जानते हैं: यदि आप देख नहीं सकते कि क्या हो रहा है, तो आप इसे नियंत्रित नहीं कर सकते। और अचानक लॉग गायब हो जाते हैं, रिपोर्ट खाली हो जाती हैं, या कोई सेवा अलविदा कह देती है। आप वहां खड़े होकर सोचते हैं कि क्या आपके पास अभी सुरक्षा समस्या है, डेटा गुणवत्ता की समस्या है, या दोनों हैं।
और फिर मुख्य बाधा (showstopper) आती है: WAF, रिवर्स प्रॉक्सी, Let’s Encrypt।
आप कुछ फैंसी (fancy) भी नहीं चाहते हैं। आप बस यही चाहते हैं कि सर्टिफ़िकेट रिन्यू हो जाएं और आपकी वेबसाइटें रात 02:13 बजे “connection refused” चिल्लाना शुरू न कर दें।
और एक बोनस के रूप में, एक इंटरफ़ेस “गायब” हो जाता है। वास्तव में गायब नहीं हुआ, बस UI में गायब हो गया है। ट्रैफ़िक शायद अभी भी चल रहा हो, लेकिन आप वह नहीं देख सकते जिसे आपको डीबग (debug) करने की आवश्यकता है।
किसी बिंदु पर, आप खुद से यह सवाल पूछते हैं जो वास्तव में बेतुका है:
मैं क्या पसंद करूँगा: एक सुरक्षा भेद्यता वाला फ़ायरवॉल जो कम से कम स्थिर रूप से तो चलता है, या बिना किसी बड़ी CVE सुर्खियों वाला फ़ायरवॉल जो ऑपरेशन्स में हर हफ्ते मेरे फर्श में नए छेद जलाता है?
1) बूट, रीबूट, अपग्रेड: “यह जीवित है, लेकिन काम नहीं कर रहा है”
यदि फ़ायरवॉल बूट होने के बाद ठीक से चालू नहीं होता है, तो यह केवल “अपटाइम (uptime)” का मामला नहीं है। यह एक खोया हुआ दिन है और साथ ही जोखिम भी है, क्योंकि ऐसी स्थिति में, आप अक्सर ऐसे काम करते हैं जो आप अन्यथा कभी नहीं करते।
SFOS 21.5 रिलीज़ नोट्स से कुछ उदाहरण:
- रीस्टार्ट के दौरान Failsafe: NC-151715 (फ़र्मवेयर प्रबंधन): रीस्टार्ट के दौरान ऑक्ज़ीलियरी (Auxiliary) डिवाइस Failsafe में चला गया; रीस्टार्ट विफल रहा।
- अपग्रेड के बाद ट्रैफ़िक रुक जाता है: NC-152641 (फ़र्मवेयर प्रबंधन): अपग्रेड (21.0 MR1 Build 237) के बाद, कोई ट्रैफ़िक प्रोसेस नहीं किया गया (SWAP मेमोरी कॉन्फ़िगरेशन में परिवर्तन)।
- कर्नेल पैनिक (Kernel Panic): NC-123910 (फ़ायरवॉल): कर्नेल पैनिक की समस्या।
और हाँ: SFOS 22.0 एक अतिरिक्त अपग्रेड कारक पेश करता है: Sophos रिलीज़ नोट्स में बताता है कि v22 आर्किटेक्चरल बदलाव लाता है और दुर्लभ मामलों में अतिरिक्त मैन्युअल चरणों की आवश्यकता हो सकती है। यह बिल्कुल उसी तरह का अपग्रेड एज केस (edge case) है जो ऑपरेशन्स में दर्द देता है।
2) HA: एयरबैग जो पार्किंग करते समय खुल जाता है
HA आपका सुरक्षा जाल (safety net) है। और ठीक इसीलिए जब एज केस वहीं पर बढ़ जाते हैं तो यह बहुत दर्दनाक होता है।
SFOS 21.5 रिलीज़ नोट्स से (चयनित):
- एक साथ रीस्टार्ट होने पर HA Event Tracking रुक जाता है: NC-142962 (HA)।
- पैसिव (Passive) पर फ़र्मवेयर अपलोड हैंग हो जाता है: NC-132291 (HA)।
- फेलओवर के कारण Restart Loop होता है: NC-147307 (HA) (नोट्स में स्पष्ट रूप से उदाहरण के लिए XGS 2300)।
- बिजली जाने (Power Outage) के बाद सिंक विफल हो जाता है: NC-147739 (HA)।
- HA स्टेटस फ्लैप करता है, डेडिकेटेड लिंक पर Crash Dump: NC-149039 (HA)।
3) लॉगिंग और रिपोर्टिंग: जब आप अंधेरे में उड़ रहे हों
मेरे लिए, यह असली कारण है कि “बग्स” केवल “ऑपरेशन्स” का मुद्दा नहीं हैं। जब लॉगिंग/रिपोर्टिंग डगमगाती है, तो यह सुरक्षा की समस्या है।
SFOS 21.5 रिलीज़ नोट्स से (चयनित):
- लॉगिंग/रिपोर्टिंग छिटपुट रूप से रुक जाती है; Garner बार-बार coredump होता है: NC-158526 (लॉगिंग फ्रेमवर्क)।
- Garner और
fwcm-heartbeatdरुक जाते हैं: NC-160962 (लॉगिंग फ्रेमवर्क)। - अपग्रेड के बाद: कोई और रिपोर्ट नहीं: NC-157663 (लॉगिंग फ्रेमवर्क)।
- Log Viewer DB करप्शन (Corruption) के कारण ईवेंट खो देता है: NC-169237 (लॉगिंग फ्रेमवर्क)।
- Syslog फ़ाइल डिस्क्रिप्टर (fd) करप्शन, डेटा गलत FD में जाता है: NC-135594 (लॉगिंग फ्रेमवर्क)।
इसके अतिरिक्त, आपको Sophos की ज्ञात समस्या सूची (Known Issues List - KIL) में कुछ ऐसे बिंदु मिलेंगे जो रोज़मर्रा की ज़िंदगी में उतने ही दर्दनाक हैं:
- लॉग व्यूअर नया डेटा नहीं दिखाता है (active.db गायब है): NC-175936 (लॉगिंग फ्रेमवर्क)। कुछ 21.5.1 सिस्टम्स पर,
/tmp/eventlogs/के अंतर्गतactive.dbगायब हो सकता है। फिर लॉग व्यूअर “फ्रीज़” हो जाता है, भले ही ट्रैफ़िक और सुरक्षा फ़ंक्शन चलते रहें। KIL के अनुसार, यह v22 में तय हो गया है और इसे 21.5 MR2 फ़िक्स में शामिल किया जाना चाहिए। - HA में फ़ॉल्स पॉज़िटिव (False Positive) “advanced threat detected”: NC-170292 (लॉगिंग फ्रेमवर्क)। Sophos Central HA परिनियोजन (deployments) में एक अलर्ट भेज सकता है, जिसमें विवरण में रॉ लॉग्स (raw logs) शामिल होते हैं। KIL के अनुसार वर्कअराउंड: Garner सेवा को पुनरारंभ (restart) करें। KBA: https://support.sophos.com/support/s/article/KBA-000043672
- ReportDB_v9 STOPPED दिखाता है (नाटकीय दिखता है, लेकिन है नहीं): NC-166381 (रिपोर्टिंग)। v21.0 GA या उसके बाद के वर्ज़न में अपग्रेड करने के बाद, यह सर्विस एक बहुत विशिष्ट समयावधि के बाद STOPPED के रूप में दिखाई देती है। KIL के अनुसार, यह अपेक्षित है और इसका कोई परिचालन प्रभाव नहीं है क्योंकि यह केवल v21 से पहले की लेगेसी (legacy) रिपोर्टिंग को प्रभावित करता है।
और यहाँ “Sophos Central Factor” आता है: यदि आप Central को सिंगल पेन ऑफ़ ग्लास (Single Pane of Glass) के रूप में उपयोग करते हैं, तो लॉगिंग की समस्या दोगुनी दर्दनाक होती है। यदि स्थानीय लॉगिंग पाइपलाइन (Garner/DB) गिर जाती है, तो Central Firewall Reporting (CFR) पर अपलोड भी विफल या हैंग हो सकता है। और वैसे भी CFR हमेशा “रियलटाइम” नहीं होता है। इसका मतलब है: सबसे खराब स्थिति में, न केवल आपके पास स्थानीय लॉग की कमी है, बल्कि ठीक उसी केंद्रीय दृश्य (central view) की भी कमी है जिस पर आप वास्तव में रोज़मर्रा की ज़िंदगी में निर्भर रहना चाहते थे।
4) WAF और Let’s Encrypt: जन सेवा (Public Service), लेकिन कृपया बिना ड्रामे के
जब सर्टिफ़िकेट रिन्यू नहीं होते हैं और रिवर्स प्रॉक्सी (reverse proxy) पागल हो जाती है, तो यह कोई “छोटा बग” नहीं है। यह सीधा ग्राहक प्रभाव (Customer Impact) है।
SFOS 21.5 रिलीज़ नोट्स में आपको WAF/Let’s Encrypt समस्याओं का एक पूरा परिवार मिलेगा:
- Let’s Encrypt सर्टिफ़िकेट का निर्माण विफल रहता है: NC-148937 (WAF)।
- LE रिक्वेस्ट विफल रहता है क्योंकि Auto-Firewall-Rule गायब है: NC-152022 (WAF)।
- अमान्य LE कॉन्फ़िगरेशन के कारण रिवर्स प्रॉक्सी लगातार रीस्टार्ट होता है: NC-140663 (WAF)।
- ACME IPs के लिए सर्टिफ़िकेट जारी नहीं करता है: NC-141062 (WAF)।
- WAF रूल अपने आप चालू/बंद (toggles on/off) हो जाता है: NC-152540 (WAF)।
और फिर ऐसे विषय हैं जो “बग की तरह दिखते हैं, लेकिन एक सुरक्षा ट्रेडऑफ़ (tradeoff) हैं”। KIL से उदाहरण:
- URLs में एन्कोडेड स्लैश (
%2F): WAF 404 लौटाता है: NC-159041 (WAF)। यदि आपका ऐप URL में एन्कोडेड स्लैश का उपयोग करता है, तो Apache डिफ़ॉल्ट रूप से इसे ब्लॉक कर देता है (निर्देशAllowEncodedSlashesडिफ़ॉल्ट रूप सेNoपर होता है) और आपको 404 दिखाई देता है, हालांकि बैकएंड में “वास्तव में” वह पथ (path) होता है। पृष्ठभूमि: एन्कोडेड स्लैश पथ प्रतिबंधों (path restrictions) को बायपास कर सकते हैं (क्लासिक उदाहरण:.../something%2F..%2Fadmin)। विवरण: https://httpd.apache.org/docs/2.4/mod/core.html#allowencodedslashes
और यदि आप जानना चाहते हैं कि फ़ील्ड (फील्ड) में यह कैसा दिखता है: इस कम्युनिटी थ्रेड में, कोई व्यक्ति वर्णन करता है कि 21.5.x में अपग्रेड करने के बाद, ऑटो-रिन्यू (auto-renew) सर्टिफ़िकेट “गायब” हो गए थे, WAF शुरू नहीं हुआ, और वेबसाइटें ERR_CONNECTION_REFUSED के साथ मर गईं। अंत में समाधान यह था: वेब प्रोटेक्शन रूल्स (Web Protection Rules) की सफाई और टूटे हुए LE CSR को हटाना, जिसके बाद यह फिर से चलने लगा। (थ्रेड: अपग्रेड के बाद WAF/Let’s Encrypt विफल, ERR_CONNECTION_REFUSED)।
और कभी-कभी यह “बग” भी नहीं होता है, बल्कि एक प्रक्रिया है: Sophos समुदाय में, ऐसे मामले भी सामने आए हैं जहां Let’s Encrypt की सेवा की शर्तें (Terms of Service) WebAdmin में समाप्त (expired) के रूप में चिह्नित थीं और उन्हें फिर से स्वीकार किया जाना था। (थ्रेड: Let’s Encrypt Terms of Service have expired)।
ज्ञात समस्या सूची (Known Issues List) से एक और “अपग्रेड ट्रैप (upgrade trap)” क्लासिक: यदि CA स्टोर में किसी ऑनबोर्ड सर्टिफ़िकेट का नाम नए पेश किए गए Let’s Encrypt सर्टिफ़िकेट्स के समान ही है, तो अपग्रेड विफल हो सकता है (NC-146082)।
5) “एक इंटरफ़ेस गायब है” (या सिर्फ अदृश्य है)
यह उस प्रकार का बग है जो रिलीज़ नोट्स में तो बहुत साधारण लगता है, लेकिन व्यवहार में आपको अंधेरे में काम करने (blind flight) के लिए मजबूर कर देता है।
आधिकारिक तौर पर एक ज्ञात समस्या (Known Issue) के रूप में प्रलेखित:
यदि SFOS 21.5 GA और उसके बाद के वर्ज़न में किसी भौतिक (physical) या तार्किक (logical) इंटरफ़ेस के नाम के अंत में 10 या अधिक अंक हैं (नोट्स में उदाहरण: VLAN_1234567890), तो भौतिक इंटरफ़ेस WebAdmin में नेटवर्क > इंटरफ़ेस के अंतर्गत दिखाई नहीं देते हैं, या तार्किक इंटरफ़ेस को विस्तारित (expand) नहीं किया जा सकता है। महत्वपूर्ण: रिलीज़ नोट्स के अनुसार, फ़ंक्शन प्रभावित नहीं होता है, केवल WebAdmin कंसोल में प्रदर्शन (display) प्रभावित होता है।
अंतरिम निष्कर्ष (यहाँ तक): बूट/अपग्रेड, HA, लॉगिंग/रिपोर्टिंग, WAF/Let’s Encrypt और यहाँ तक कि UI भी आपको एक साथ परेशान कर सकते हैं। यहाँ से ऐसे विषय आते हैं जो शुरू में “नेटवर्क विवरण” की तरह लगते हैं लेकिन परिचालन रूप से उतने ही महंगे हैं: Entra SSO, VPN Interop, और प्रतीत होने वाले रैंडम ट्रैफ़िक ड्रॉप्स।
6) आइडेंटिटी/SSO (Entra) और Captive Portal: जब एक्सेस “रैंडम” लगता है
यह बग की वह श्रेणी है जो ऑपरेशन्स में विशेष रूप से विश्वासघाती है: उपयोगकर्ता (User) के लिए, यह ऐसा लगता है कि “मेरा खाता काम नहीं कर रहा है”। आपके लिए, यह ऐसा लगता है कि “यह सिर्फ SSO का मसला है”। वास्तव में, अक्सर इसके बीच में फ़ायरवॉल होता है।
KIL से कुछ खुले मुद्दे (open issues) यदि Microsoft Entra ID (Azure AD) आपके मिक्स में है:
- Sophos Connect VPN: कंडीशनल एक्सेस (Conditional Access) पूरी तरह से समर्थित नहीं है: NC-167126 (ऑथेंटिकेशन)। पहले लॉगिन पर प्रारंभिक MFA चुनौती के बाद, कंडीशनल एक्सेस जाँच बाद के प्रत्येक कनेक्शन पर ट्रिगर नहीं होती है। KIL के अनुसार, पॉलिसी एनफोर्समेंट तब तक दोबारा नहीं होता जब तक कि उपयोगकर्ता Sophos Connect Client में मैन्युअल रूप से लॉग आउट नहीं कर देता।
- VPN SSO: UPN और ईमेल भिन्न हैं, लॉगिन टूट जाता है: NC-157635 (ऑथेंटिकेशन)। यदि Entra में ईमेल ID और UPN भिन्न हैं, तो उपयोगकर्ता VPN पोर्टल तक पहुंच सकते हैं, लेकिन SSL VPN या IPsec पोर्टल तक नहीं। KIL के अनुसार कारण: OAuth हेडर ईमेल प्रदान करता है, जिसे बाद में UPN के रूप में समझा जाता है।
- Captive Portal: Entra SSO उपयोगकर्ताओं को नियम (Rule) में प्राइमरी ग्रुप (Primary Group) की आवश्यकता होती है: NC-167130 (ऑथेंटिकेशन)। इंटरनेट एक्सेस तभी काम करता है जब आप फ़ायरवॉल रूल मैच (Firewall Rule Match) में प्राइमरी ग्रुप का उपयोग करते हैं (सेकेंडरी ग्रुप यहाँ नहीं गिने जाते हैं)। KIL के अनुसार समाधान “अगली रखरखाव रिलीज़” में; वर्कअराउंड: प्राइमरी ग्रुप को स्पष्ट रूप से मैच करें या उपयोगकर्ता-आधारित नियमों का उपयोग करें।
- Entra SSO के साथ कभी-कभार “no permission” (अनुमति नहीं) त्रुटियाँ: NC-167128 (ऑथेंटिकेशन)। यह तब हो सकता है जब Entra ID Auth और On-Prem AD Auth का समानांतर (parallel) उपयोग किया जाता है (टोकन-पुन: उपयोग)। KIL के अनुसार वर्कअराउंड: ब्राउज़र कुकीज़ साफ़ करें या Sophos Connect Client में “force re-logon” (बलपूर्वक पुनः लॉगऑन) करें। वैकल्पिक रूप से, लगातार एक ऑथेंटिकेशन विधि का उपयोग करें।
7) VPN/IPsec इंटरऑपरेबिलिटी (Interop): अपग्रेड अक्सर “विरोधी” के कारण विफल होते हैं
दो KIL विषय जो केवल 21.5 से शुरू नहीं हुए, बल्कि 21.5/v22 में प्रासंगिक बने हुए हैं जैसे ही आपके पास फ़ील्ड में पुराने क्लाइंट या दूरस्थ पीयर (remote peers) हों:
- IPsec IKEv2: टनल चालू नहीं होती (फ़्रेग्मेंटेशन/PMTU): NC-136352 (IPsec)। 20.0 MR1 से, डिफ़ॉल्ट IKEv2 प्रोफ़ाइल बड़े पैकेट (अधिक डिफ़ॉल्ट फ़ील्ड) उत्पन्न कर सकती है, कभी-कभी 1500 बाइट्स से अधिक। यदि पथ (path) पर फ़्रेग्मेंटेशन/PMTU खराब है (फ़्रैगमेंट छोड़ दिए जाते हैं), तो S2S टनल चालू नहीं होगी। KIL के अनुसार शमन (Mitigation): IPsec प्रोफ़ाइल में DH ग्रुप्स (DH Groups) को कम करें (न्यूनतम 4) या दूरस्थ पीयर (remote peer) द्वारा उपयोग किए जाने वाले समूहों को बिल्कुल कॉन्फ़िगर करें।
- SSL VPN/OpenVPN 2.6.0: EoL क्लाइंट्स/UTM9 के साथ असंगति (Incompatibility): NC-128116 (SSLVPN)। 20.0 MR1 से, OpenVPN 2.6.0 पर है। यह पुराने SFOS संस्करणों (18.5 और पुराने), लेगेसी (Legacy) SSL VPN क्लाइंट (EoL) और UTM9 OS के साथ साइट-टू-साइट SSL VPNs को तोड़ देता है। KIL के अनुसार सिफ़ारिश: दोनों पक्षों को अपग्रेड करें या IPsec/RED पर स्विच करें; रिमोट (Remote): Sophos Connect या वर्तमान OpenVPN क्लाइंट का उपयोग करें।
8) बिना रूल हिट के ट्रैफ़िक ड्रॉप: एक गंदे कारण के रूप में Accurate ECN
जब ट्रैफ़िक “रैंडम” रूप से गिरता हुआ प्रतीत होता है, तो आप सबसे पहले नियम (rules), IPS, TLS इंस्पेक्शन और राउटिंग की जाँच करते हैं। और फ़र्मवेयर अपग्रेड के बाद, सूची में एक क्लासिक जुड़ जाता है: IPS इंजन (Snort) या सिग्नेचर (signatures) सख्त हो जाते हैं, वैध (legitimate) ट्रैफ़िक को ब्लॉक कर देते हैं, और आपको तुरंत इसके लिए कोई स्पष्ट लॉग ईवेंट नहीं मिलता है। फिर आप “राउटिंग” या “रूल्स” को डीबग करने में घंटों बिताते हैं, भले ही यह अंततः पॉलिसी या ट्यूनिंग (Tuning) का काम हो।
हालाँकि, KIL के पास एक ऐसा उम्मीदवार भी है जो आपको बहुत लंबे समय तक व्यस्त रख सकता है यदि आपने इसे अपने रडार पर नहीं रखा है:
- Accurate ECN Bits के कारण ट्रैफ़िक छोड़ दिया गया: NC-169842 (फ़ायरवॉल)। Accurate ECN, TCP बिट्स (ECE/CWR/NS) को अलग तरह से सेट करता है (RFC 7560)। KIL के अनुसार, कर्नेल इसकी व्याख्या “रिज़र्व्ड बिट सेट (reserved bit set)” के रूप में करता है और ट्रैफ़िक को छोड़ देता है। इसे कम करने के लिए, क्लाइंट पक्ष पर एक नज़र डालना मदद करता है: व्यवहार में, यह नए लिनक्स (Linux) कर्नेल या Apple क्लाइंट के साथ अधिक देखा जा सकता है, क्योंकि वे RFC 7560/Accurate ECN का अधिक सक्रिय रूप से उपयोग करते हैं (“केवल MacBooks ही क्यों बाहर फेंके जा रहे हैं?")। RFC: https://www.rfc-editor.org/rfc/rfc7560
9) v22 GA Re-Release Build 411: पहली बार में इसकी आवश्यकता क्यों थी
20 जनवरी 2026 को, Sophos ने “दुर्लभ और अलग-थलग समस्याओं” को ठीक करने के लिए v22 GA को री-रिलीज़ (Build 411) के रूप में आगे बढ़ाया। यह सूची “चेंज विंडो (change window) में अनावश्यक काम” के सर्वश्रेष्ठ हिट्स (Best-Of) की तरह पढ़ती है (स्रोत: री-रिलीज़ पर Sophos कम्युनिटी ब्लॉगपोस्ट):
- NC-171003: VLAN फ़िल्टरिंग के साथ ब्रिज (Bridge) इंटरफ़ेस के माध्यम से WebAdmin तक नहीं पहुँचा जा सकता।
- NC-170987: CLI स्पैम लॉग “Invalid rule id or family for update”।
- NC-170970: यदि DNAT नियम (Rule) में एक विशिष्ट आउटबाउंड इंटरफ़ेस (outbound interface) है, तो DNAT ट्रैफ़िक विफल हो जाता है।
- NC-171600: SSL/TLS विजेट और सेशन चार्ट (Session Chart) डेटा गलत/खाली है।
- NC-172197: कोई SNMP कॉन्फ़िगरेशन नहीं जोड़ा जा सकता।
ब्लॉगपोस्ट: v22 GA re-release (Build 411) is now available।
वास्तविक नुकसान: बग्स सुरक्षा को अधिक महंगा बनाते हैं
मुद्दा यह नहीं है कि “बग्स CVE से भी बदतर हैं” या इसके विपरीत।
मुद्दा यह है: जब आपका ऑपरेशन्स (संचालन) डगमगाता है, तो सुरक्षा स्वचालित रूप से बदतर हो जाती है।
- आप अपग्रेड करने में देरी करते हैं क्योंकि आप अगले रिग्रेशन बग (Regression-Bug) से डरते हैं।
- आप सुविधाओं को अक्षम कर देते हैं (“हमें अभी इसकी आवश्यकता नहीं है”) क्योंकि वे तनाव का कारण बनती हैं।
- आप ऑबज़र्वेबिलिटी (लॉग) खो देते हैं, जिसका अर्थ है प्रतिक्रिया में देरी।
- आप अपना समय सेगमेंटेशन, बैकअप और स्पष्ट नियम (clean rules) बनाने के बजाय आग बुझाने (firefighting) में निवेश करते हैं।
और एक बिंदु जिसे व्यवहार में पूरी तरह से कम आंका जाता है: Time-to-Resolution (समाधान का समय)। CVE के साथ, आपके पास आमतौर पर एक एडवाइजरी, मिटिगेशन (mitigation) और एक फ़िक्स (fix) होता है। बग के साथ, सबूत का भार (burden of proof) जल्दी से एडमिन पर आ जाता है: tcpdump, CTR लॉग, उन्नत शेल निर्यात (Advanced Shell export), “क्या आपने इसे बंद करके फिर से चालू करने का प्रयास किया है?” - जबकि उत्पादन (production) जल रहा है। और उसके बाद ही आप सपोर्ट के चक्कर में फँसते हैं: समस्या को आगे बढ़ाना (escalating), हॉटफ़िक्स (hotfix) या अगले MR की प्रतीक्षा करना। यह अतिरिक्त ऑप्स समय (ops time) खा जाता है जिसकी आपने योजना नहीं बनाई थी।
और ठीक यही कारण है कि यह सवाल “क्या एक भेद्यता बेहतर है, लेकिन स्थिर है?” मानवीय है, लेकिन वास्तव में एक गलत मोड़ है:
न केवल “भेद्यता” एक सुरक्षा समस्या है। “अस्थिर फ़ायरवॉल” भी एक सुरक्षा समस्या है।
हम इससे क्या सीखते हैं (ताकि यह पूरी तरह से नियंत्रण से बाहर न हो जाए)
कुछ चीज़ें जो हमें हर हफ़्ते पहिये का फिर से आविष्कार किए बिना पागलपन को सीमित करने में मदद करती हैं:
अपग्रेड प्रीफ़्लाइट (Upgrade-Preflight) (शुरू करने से पहले)
- बैकअप (Backups) को रिस्टोर (Restores) की तरह मानें: कॉन्फ़िगरेशन निर्यात करें, ऑफ़लाइन बैकअप लें, और कम से कम एक बार रिस्टोर का परीक्षण करें।
- HA स्थिति “हरा (green)” होना ही पर्याप्त नहीं है – फेलओवर का परीक्षण करें! GUI के अनुसार, हमारा सिंक (sync) ठीक था और हार्टबीट साफ़ था। लेकिन आपात स्थिति में, ऑक्ज़ीलियरी उपकरण (Auxiliary Appliance) ने अभी भी फेलओवर को सुचारू रूप से नहीं संभाला। WebAdmin में एक हरा चेकमार्क वर्तमान में दुखद रूप से कोई गारंटी नहीं है कि यह चेंज-विंडो (change-window) के दौरान काम करेगा।
- लॉगिंग को सत्यापित करें: बाहरी Syslog/Collector को ईवेंट मिलते हैं, कोई गैप नहीं है, समय/NTP सही है।
- सर्टिफ़िकेट/WAF की जाँच करें: समाप्ति तिथियाँ, Let’s Encrypt वैलिडेशन, और प्लान B के रूप में फ़ॉलबैक (Fallback) सर्टिफ़िकेट।
- वास्तव में SSO/VPN का परीक्षण करें: Entra लॉगिन, Captive Portal, Sophos Connect, SSL VPN, IPsec S2S (फेलओवर सहित) अपने आप में परीक्षण के मामले (test cases) हैं।
- ब्रेक-ग्लास (Break-Glass) के लिए तैयार रहें: कंसोल/आउट-ऑफ़-बैंड (Out-of-band) एक्सेस, स्थानीय व्यवस्थापक (local admins), और रोलबैक के लिए फ़र्मवेयर चित्र (images)।
- डुअल-बूट (Dual-Boot) को न भूलें (और इसे कम न आंकें): Sophos में दो फ़र्मवेयर विभाजन (partitions) होते हैं। यदि कोई अपग्रेड गलत हो जाता है, तो 21.5 में रोलबैक अक्सर दूसरे विभाजन को चुनकर रीबूट करने जितना ही आसान होता है। लेकिन: ऐसे मामले भी हैं जहां दूसरा विभाजन भी ठीक से बूट नहीं होता है, और तब केवल एक रीइमेज (reimage) ही मदद करता है (जिसकी सपोर्ट संभवतः बहुत जल्दी मांग करता है)। और यहाँ तक कि एक रीइमेज भी हमेशा वास्तविक मूल कारण को हल नहीं करता है।
अपग्रेड के दौरान (यदि HA शामिल है)
- पहले पैसिव/सेकेंडरी (Passive/Secondary), फिर फेलओवर, और फिर एक्टिव (Active)।
- प्रत्येक चरण के बाद संक्षेप में मान्य (validate) करें: ट्रैफ़िक, VPN, DNS, लॉगिंग, WAF/रिवर्स प्रॉक्सी।
चल रहे ऑपरेशन्स (Ongoing Operations) में
- HA का परीक्षण करें, न कि केवल इसे कॉन्फ़िगर करें: फेलओवर ड्रिल (Failover drills) और क्लस्टर को कब अलग (split) करना है, इसके स्पष्ट मापदंड।
- लॉगिंग को एक उत्पाद के रूप में मानें: लॉग गैप के लिए अलर्ट, सर्विस हेल्थ (Service Health), और UI के नखरे दिखाने पर CLI के माध्यम से आपातकालीन निर्यात (Emergency export)।
- सर्टिफ़िकेट्स की सक्रिय रूप से निगरानी करें: नवीनीकरण (Renewal) कोई “होना अच्छा है (nice to have)” वाली बात नहीं है, बल्कि एक परिचालन जोखिम है। ToS परिवर्तनों को इन्फ्रास्ट्रक्चर परिवर्तनों (Changes) की तरह ही मानें।
- हेल्थ चेक (Health Check) एक संकेत के रूप में, KPI के रूप में नहीं: v22 में, Sophos ने हेल्थ चेक (Health Check) पेश किया (विवरण मेरे लेख Sophos Firewall v22 Health Check - संपूर्ण अवलोकन में)। यह एक सर्वोत्तम-अभ्यास चेकलिस्ट (best-practice checklist) के रूप में अच्छा है, लेकिन कभी-कभी ऐसा लगता है कि “इकोसिस्टम स्विच को हरे रंग में बदलना” ही इसका उद्देश्य है। अभ्यास से एक उदाहरण: बहुत से लोग केवल हेल्थ चेक में हरा चेकमार्क पाने के लिए लॉगिन अस्वीकरण (Login Disclaimer) को सक्रिय करते हैं। हालाँकि, मुझे वहाँ जिसकी कमी खलती है, वह कठोर परिचालन संकेतक हैं जैसे “क्या लॉगिंग/रिपोर्टिंग DB स्वस्थ है?” या “SSD की स्थिति क्या है?” - ख़ासकर इसलिए क्योंकि कुछ उपकरणों (appliances) में उम्मीद से कहीं अधिक तेज़ी से स्टोरेज की समस्याएँ देखी गईं।
निष्कर्ष: जब टूल ही जोखिम बन जाए
दिन के अंत में, हम सब एक ही नाव में सवार हैं। हम महत्वपूर्ण बुनियादी ढाँचे (infrastructure) का प्रबंधन करते हैं और हमें उन उपकरणों (tools) पर भरोसा करने में सक्षम होना चाहिए जो हमें अराजकता से बचाने वाले हैं, न कि स्वयं अराजकता का कारण बनने वाले हैं। वर्तमान फ़र्मवेयर गुणवत्ता (v21.5 / v22) को देखते हुए, Sophos के पास निश्चित रूप से करने के लिए बहुत सारा होमवर्क है। “स्थिर रिलीज़ (stable releases)” पर विश्वास को हमारे और समुदाय के कई अन्य लोगों के लिए एक गंभीर झटका लगा है।
मुझे ऐसा फ़ायरवॉल नहीं चाहिए जो “या तो सुरक्षित हो या स्थिर”। मुझे एक ऐसा फ़ायरवॉल चाहिए - नहीं, मुझे ज़रूरत है - जिसमें दोनों हों।
जब तक Sophos गुणवत्ता संबंधी इन समस्याओं पर नियंत्रण नहीं पा लेता, तब तक हमारे पास ऑपरेशन्स में केवल एक ही विकल्प बचता है: हमें और भी अधिक अनुशासित होना होगा, UI में “हरे चेकमार्क” की परवाह करना छोड़ना होगा, और परिनियोजन (deployment) योजना में साधारण बग्स को भी उतने ही गंभीरता से लेना होगा जितना कि हम क्रिटिकल CVEs को लेते हैं।
अगली बार तक,
Joe
स्रोत (Sources)
- Fortinet PSIRT एडवाइजरीज़
- Sophos Firewall v21.5 रिलीज़ नोट्स
- Sophos Firewall v22.0 रिलीज़ नोट्स
- Sophos KIL (ज्ञात समस्याएँ - Known issues)
- Sophos समुदाय: v22 GA re-release Build 411
- Sophos कम्युनिटी थ्रेड (Let’s Encrypt/WAF)
- Sophos कम्युनिटी थ्रेड (Let’s Encrypt सेवा की शर्तें - ToS)
- Apache दस्तावेज़: AllowEncodedSlashes
- Sophos KBA (Garner उन्नत खतरे (advanced threat) का फ़ॉल्स पॉज़िटिव)
- RFC 7560 (Accurate ECN)
